Rod med mail-sikkerhed på flere domæner hos Forsvarets Efterretningstjeneste og CFCS

Illustration: Henning Mølsted
Manglende DMARC-beskyttelse og fejlfyldt SPF-konfiguration plager flere domæner under Forsvarets Efterretningstjeneste.

Flere domæner hos Forsvarets Efterretningstjeneste (FE) har ikke implementeret de teknologier til beskyttelse mod blandt andet phishing-angreb, som Center for Cybersikkerhed (CFCS) ellers har anbefalet siden 2017. Som flere ved, er CFCS en del af Forsvarets Efterretningstjeneste.

Læs også: Center for Cybersikkerhed: Organisationer bør bruge DMARC

Tilbage i december 2018 fortalte Version2, hvordan domænet for CFCS's Situationscenter, cfcs-sitcen.dk, hverken havde DMARC- eller SPF-beskyttelse. Det er teknologier, der gør det vanskeligt for uvedkommende at sende mails, der ser ud til at være sendt af - i dette tilfælde - Center for Cybersikkerhed uden at være det.

Læs også: CFCS i DMARC-smutter: »Det er selvfølgelig en ren tilståelsessag«

Så en fup-mail, der for modtageren ser ud til at komme fra en officiel adresse som info@cfcs-sitcen.dk, kan altså forhindres i at nå frem, hvis både modtagerens og afsenderens mail-server understøtter DMARC og underliggende teknologier.

Det gør cfcs-sitcen.dk ikke, selvom CFCS ellers siden 2017 har anbefalet danske organisationer at implementere DMARC for at undgå svindelmails.

Da Version2 talte med chef for CFCS Thomas Lund Sørensen i december om den manglende beskyttelse af mails fra domænet, kaldte han det en ren tilståelsessag.

I forhold til hvorfor der stadig ikke er beskyttelse på domænet, forklarer Thomas Lund Sørensen, at man hos CFCS har arbejdet på at indføre nogle overordnede procedurer, så der kommer styr på nuværende og fremtidige domæner.

»Det er en lidt større proces i virkeligheden, hvis man ikke bare vil fikse en enkelt ting, men gøre det grundigt og rigtigt. For CFCS-domænernes vedkommende ligger det nu ude hos en person, der har til opgave at sætte de rigtige SPF-records, DMARC osv.,« siger Thomas Lund Sørensen.

Thomas Lund Sørensen forventer, at der snart kommer styr på de øvrige domæner, der har direkte tilknytning til CFCS.

»Der er forskellige skridt; man kan tage det case by case, det har i hvert fald i vores tilfælde vist sig ikke at være nogen særlig stor succes. Vi har DMARC og hele molevitten på vores hoveddomæne, men vi har det altså ikke på vores side-domæner, som vi ikke bruger til e-mail.«

Han forklarer, at de procedurer, CFCS arbejder på, som blandt andet skal sikre, at der bliver taget stilling til sådan noget som DMARC-beskyttelse, i første omgang omfatter CFCS' egne domæner og ikke FE som helhed.

»Foreløbig sætter vi en politik for Center for Cybersikkerhed, og den politik vil vi lade smitte af andre steder, hvor vi kan komme til at gøre det,« siger Thomas Lund Sørensen.

fe-mail.dk og fe-ddis.dk

Og der er umiddelbart behov for, at sådan en politik smitter af andre steder i den organisation, CFCS er en del af.

Mens der ifølge Thomas Lund Sørensen har været fokus på at sætte DMARC-beskyttelse hos de domæner, der hører direkte under CFCS, og som bliver brugt til mail-kommunikation, så mangler beskyttelsen på flere andre domæner hos FE, der også bliver brugt til mail-kommunikation.

Uanset om et domæne bliver brugt til mail-kommunikation eller ej, så kan man anføre, at en mail-modtager ikke nødvendigvis ved noget om, hvordan FE og CFCS bruger domæner.

fe-ddis.dk er FE's hoveddomæne og bruges indirekte også af CFCS til mails. På Version2-redaktionen har vi således modtaget adskillige mails sendt fra domænet i forbindelse med diverse pressehenvendelser til CFCS gennem årene.

Udover den manglende DMARC-beskyttelse så har fe-ddis.dk desuden en SPF-record (en liste med IP-adresser, der må sende på vegne af domænet), som har været ugyldig i over et år.

Et opslag på status.dmarc.dk, som Henrik Schack står bag, under 'SPF Defektlisten' viser, at SPF-recorden for fe-ddis.dk i skrivende stund har været ugyldig i 376 dage. En ugyldig SPF-record kan eksempelvis betyde, at mails sendt fra domænet ikke når frem, men havner i en spam-mappe.

Thomas Lund Sørensen forventer, der snart kommer DMARC og en velfungerende SPF-record på fe-ddis.dk.

»Den bold er vi på«

DMARC og de underliggende teknologier kan være et godt værn mod målrettede phishing-angreb, også kaldet spear-phishing. Blandt andet fordi DMARC tvinger en angriber til at bruge et domæne, der kan se noget løjerligt ud, så det er synligt for mail-modtageren, at noget kan være på færde.

Eksempelvis hvis der står @virksomhedsnavn-dk.com i stedet for @virksomhedsnavn.dk

Spear-phishing er aktuelt i en anden sammenhæng i relation til CFCS. Som blandt andet Version2 har fortalt, lægges der i et nyt lovforslag op til, at CFCS som en såkaldt forebyggelsesaktivitet skal lave simulerede spear-phishing-angreb mod udvalgte medarbejdere hos virksomheder og myndigheder efter anmodning fra de pågældende organisationer.

Den første beskyttelse i forhold til phishing og meget vellignende mails - det er vel om at få de her ting på plads? (som DMARC, red.)

»Ja, og det er også derfor, vi står ved vores kraftige anbefaling om, at man anvender DMARC som en mulig måde at beskytte sig mod at modtage de her spoofede mails på. Og det er slet ikke slut, hverken inden for forsvarets område eller indenfor statens område med at få det gode budskab både spredt, men sådan set også at få det efterlevet. Den bold er vi på, og den ønsker vi at være det på,« siger Thomas Lund Sørensen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Uffe R. B. Andersen

Et opslag på status.dmarc.dk, som Henrik Schack står bag, under 'SPF Defektlisten' viser, at SPF-recorden for fe-ddis.dk i skrivende stund har været ugyldig i 376 dage.

Tre pladser længere nede på listen, ligeledes med (nu) 377 dage, står så IDA.dk.

  • 8
  • 0
Torben Mogensen Blogger

Til de knap så latinkyndige: Hvem vogter vogterne?

Når nogle skal vogte sig selv, går det sjældent godt. I hierarkiske systemer, er der som regel nogen i toppen, der ikke bliver kontrolleret. Derfor skal der være en vis grad af gensidighed/cirkularitet i alle kontrolsystemer.

  • 3
  • 0
Christian Nobel

Præcis det samme emne var oppe at vende i Weekendavisen for nogle måneder siden, i forbindelse med Britta Nielsen sagen.

For hvor sygeplejesker skal udfylde skemaer, og gøre rede for hver eneste plaster de bruger, og ellers leve op til alsken kontroller (og tilsvarende for alle andre faggrupper tæt på gulvet), så er der ingen der kontroller hvad der sker længere oppe i systemet.

  • 2
  • 0
Uffe R. B. Andersen

Formoder at nogle fra CFCS også læser med her, og hvis ikke nogle fra IDA gør, så bliver jeg skuftet.

Hvem får fixet det her først ?

En mindre fagforening, eller en stor mastodont, som brænder 1-2 miliarder af og året.

Uffe R. B. Andersen - Jeg regner med at du vil agere dommere ?

Jeg tænker Henrik Schack har et automatisk system, som finder en vinder. Men IDA fører nok lidt, fordi de har faktisk reageret på en Twitter-tråd om emnet og lovet, at deres rettede SPF-record kommer i produktionsmiljøet i morgen. Samtidig har de endog tilkendegivet, at de samtidig går i monitor-mode med DMARC. Det lader til at lidt voksenmobning virker ;-)

  • 2
  • 0
Jan Oestergaard

Test selv.

https://internet.nl/

Kommer aldrig til at stole på nogen stats styret eller privat styret virksomhed til at kontrollere, passe på eller sikre privates oplysninger.
Det eneste der kan ændre på det her er rigide regler så hver enkelt skal spørges hvis data skal tilgås.

Regler/Love som sikre at der er uvildig kontrol og åbenhed til at sikre informationerne beskyttes/ikke misbruges.

Især sikre et end 2 end ansvar, så man ikke kan tørre det af på enkelte, skuffeselskaber, 3de parts leverandørere osv.

Love og regler skal i lige så høj grad rettes mod virksomheder/privat ejet eller fælles ejet som de rettes mod individet.

Og så skal der ikke mindst indføres et konsekvens kodeks så man ikke bare kan bøje i vinden som så mange systemer/virksomheder(2big2fail) gør.

Det SKAL koste både hoveder, bonuser, aktionær ansvar osv. hele kæden igennem.

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize